权限提升漏洞之Netlogon协议详解 以及可能出现得漏洞分析

浩浩测试一下2024-12-01 10:12

1.Netlogon服务1

  • Netlogon服务为域内的身份验证提供一个安全通道

    • 它被用于执行与域用户和机器身份验证相关的各种任务 ,最常见的是让用户使用NTLM协议登录服务器

    • 默认情况下,Netlogon服务在域内所有机器后台运行

2.Netlogon服务2

  • Netlogon服务为域内的身份验证提供一个安全通道

    • 它被用于执行与域用户和机器身份验证相关的各种任务 ,最常见的是让用户使用NTLM协议登录服务器

    • 默认情况下,Netlogon服务在域内所有机器后台运行

      • 该服务的可执行文件路径为C:\Windows\system32\lsass.exe

3.Netlogon认证流程1

  • Neglogon 客户端和服务端之间通过 Microsoft Netlogon Remote Protocol(MS-NRPC)来进行通信。

    • MS-NRPC并没有使用与其他RPC相同的解决方案

    • 在进行正式通信之前,客户端和服务端之间需要进行身份认证并协商出一个Session Key

      • 该值用于保护双方后续的RPC通信流量。

该服务的可执行文件路径为C:\Windows\system32\lsass.exe

4.Netlogon认证流程2

  • Neglogon 客户端和服务端之间通过 Microsoft Netlogon Remote Protocol(MS-NRPC)来进行通信。

    • MS-NRPC并没有使用与其他RPC相同的解决方案

    • 在进行正式通信之前,客户端和服务端之间需要进行身份认证并协商出一个Session Key

      • 该值用于保护双方后续的RPC通信流量。

5.简要的Netlogon认证流程3

  • 域内机器客户端

  • 客户端发送Client Challenge

  • 服务端发送Server Challenge

  • Session Key=Encrypt(SharedSecret,Client Challenge,Server,Challenge)

  • 客户端发送Client Credential=(Encrypt(Session Key,Client Challenge))

  • 服务端发送Server Credential=(Encrypt(Session Key,Server Challenge))

  • 域控服务端

  • 1)由客户端启动网络登录会话,客户端调用NetrServerReqChallenge函数给服务端发送随机的8字节的Client Challenge值。

  • 2)服务端收到客户端发送的NetrServerReqChallenge函数调用指令后,服务端也调用NetrServerReqChallenge 函数发送随机的8字节的Server Challenge值。

  • 3)此时,客户端和服务端均收到了来自对方的Challenge值 ,然后双方都使用共享的密钥secret(客户端机器账户的Hash)以及来自双方的Challenge值通过计算得到SessionKey [Session Key=KDF(secret,(Client Challenge+Server Challenge))]。

    • 此时,客户端和服务端均拥有了相同的Client Challenge、Server Challenge、Session Key

  • 4)客户端使用Session Key 作为密钥加密Client Challenge 得到Client Credential并发送给服务端。

    • 服务端收到客户端发来的Client Credential后,本地使用Session Key 作为密钥加密Client Challenge 计算出 Client Credential

    • 然后比较本地计算出的Client Credential和从客户端发送来的Client Credential 是否相同。

    • 如果两者相同,则说明客户端拥有正确的凭据以及Session Key

  • 5)服务端使用Session Key 作为密钥加密Server Challenge 得到Server Credential并发送给客户端

    • 客户端收到服务端发来的Server Credential后,本地使用Session Key作为密钥加密Server Challenge 计算出Server Credential

    • 然后比较本地计算出的Server Credential和从服务端发送来的Server Credential是否相同。

    • 如果两者相同,则说明服务端拥有相同的Session Key.

  • 6)至此,客户端和服务端双方互相认证成功并且拥有相同的Session Key,此后使用Session Key 来加密后续的RPC通信流量

6.协议漏洞分析

  • 到底是以上哪步出现了问题导致漏洞的产生呢?后面空了再来说说这个问题哟
相关推荐
00后程序员张4 分钟前
iOS App 混淆与加固对比 源码混淆与ipa文件混淆的区别、iOS代码保护与应用安全场景最佳实践
android·安全·ios·小程序·uni-app·iphone·webview
Devil枫3 小时前
鸿蒙深链落地实战:从安全解析到异常兜底的全链路设计
安全·华为·harmonyos
lubiii_10 小时前
网络安全渗透测试第一步信息收集
安全·web安全·网络安全
你的人类朋友12 小时前
🔒什么是HMAC
后端·安全·程序员
阿部多瑞 ABU13 小时前
《基于国产Linux的机房终端安全重构方案》
linux·安全
小刘鸭地下城15 小时前
内容安全策略(CSP)深度指南:从基础配置到高级防护
安全
合作小小程序员小小店17 小时前
机器学习介绍
人工智能·python·机器学习·scikit-learn·安全威胁分析
内心如初21 小时前
应急响应事件处理(网络安全体系架构与应急响应的前置知识)
安全·web安全
Teamhelper_AR1 天前
AR眼镜:化工安全生产的技术革命
安全·ar
zz-zjx1 天前
堡垒机安全架构:从零搭建企业级防护(单节点版)
安全·ssh·安全架构
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03UV安装并设置国内源04A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程0546个Nano-banana 精选提示词,持续更新中06conda中设置镜像地址(附所有可换的地址)07KGG转MP3工具|非KGM文件|解密音频08智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践09突破百度网盘的下载限速,两种方法教会你【超详细】10Spec-Kit 使用指南